SSL加密技术探究分析.pdf

浅谈SSL 加密协商过程 SSL 是一种安全传输协议，及安全套接层。该协议最初由Netscape 发展而来，现在主要 用于网络上用来鉴别网站和网页浏览者身份，以及在浏览器及服务器之间进行加密通讯。例 如现在的网上银行和电子商务等大型网上交易系统普遍采用HTTP 和SSL 相结合的方式。 SSL 协议的工作流程： 服务器认证阶段： (1) 客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接； (2) 服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户 的“Hello”信息时将包含生成主密钥所需的信息； (3) 客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后 传给服务器； (4) 服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服 务器。 用户认证阶段： 在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。 SSL 采用TCP 作为传输协议提供数据的可靠传送和接收。位于TCP/IP 协议与各种应用层 协议之间，为数据通讯提供安全支持。SSL 协议可以分为两层： 1. SSL 记录协议（SSL Record Protocol ）：它建立在TCP 之上，为高层协议提供数据封 装、压缩、加密等基本功能的支持。 2. SSL 握手协议（SSL Handshake Protocol ）：它建立在SSL 记录协议之上，用于在实际 的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。 通过以上SSL 加密协议的介绍，我们知道在传输应用数据之前，必须先进行通过SSL 握手协议进行身份认证、密钥交换等，因此我访问了一个经过SSL 协议加密的网站，并对整 个过程进行抓包分析，用来详细分析 SSL 握手过程，了解其具体是怎样进行身份密钥交换。 具体情况如下： 客户端和服务端通过三次握手建立连接后，客户端首先发送“Client Hello ”消息，其中 包含有：协议版本、随机数、以及客户端所支持的所有加密算法。 服务端在收到客户端的Hello 消息后，首先会返回一个“Server Hello ”数据包，其中包 含：协议版本、服务端生成的随机数、以及从客户所建议的加密算法中选择的一套加密算法。 在发送完 Hello 消息后，服务端会发送它的证书和密钥交换信息。如果服务端被认证， 它就会请求客户端的证书，在验证后，服务端就发送“Sever Hello Done ”消息，以示达成握 手协议，双方握手接通。 客户端收到Server Done 消息后，检查服务器提供的证书，并判断hello 参数是否可以接 受。如果服务端请求证书，则要先发送一个 certificate 消息，然后客户端发送 “clent key exchange ”及密钥交换信息。 客户发送一个change_cipher_spec 消息，并且把协商得到的CipherSuite 拷贝到当前连接 的状态之中。然后，客户用新的算法、密钥参数发送一个finished 消息，这条消息可以检查 密钥交换和鉴别过程是否已经成功。其中包括一个校验值，对所有以来的消息进行校验。 服务器同样发送change_cipher_spec 消息和finished 消息。握手过程完成，客户和服务 器可以交换应用层数据。 至此，一次完整的SSL 握手过程完成，接着使用交换过后的加密方式对应用数据进行加 密传输。